[지디넷코리아]
“최근 5년간 개인정보 유출 신고는 2배 늘었고, 유출 규모도 8배 이상 증가했다. 이는 ‘소 잃고 외양간 고치기’ 식의 사후제재 중심 개인정보 보호체계의 한계를 보여준다. 사전예방적인 패러다임 전환을 논의해야 할 시점이다”
김도승 전북대 법학전문대학원 교수는 23일 오전 10시 국회의원회관 제8간담회의실에서 개최된 ‘사전예방 중심 개인정보 보호 체계 구축을 위한 토론회’에서 이같이 밝혔다.
김 교수는 쿠팡이나 SK텔레콤 등에 보안 사고가 터진 이후 여러 정책적인 논의가 오갔지만 가장 부각됐던 부분은 결국 징벌적 과징금이었다면서 “연이은 사고로 사휴 제재 강화는 계속해서 누적됐다. 이러한 대응은 단기적으로는 사회적 경각심을 높이는 효과가 있지만, 정책 구조 전체를 사후 책임 중심으로 고착시키는 요인이 된다”고 짚었다.
이에 그는 사후 제재에서 사전 예방하는 방향으로 개인정보 보호 체계가 전환돼야 한다면서 “개인정보 보호 패러다임은 이제 사고 이후 책임을 묻는 시대를 넘어 위험을 설계 단계에서부터 관리하는 예방적 거버넌스로 전환돼야 한다”고 강조했다.
사전 예방 중심의 개인정보 보호 체계를 위한 선결조건으로 김 교수는 ‘개인정보보호위원회의 인력, 재원, 역량 확보’를 내세웠다. 그는 “예방적 보호체계가 실질적으로 작동하기 위해서는 감독기관이 위험을 사전에 식별하는 것이 중요하다. 개인정보보호위원회는 공정거래위원회, 국민권익위원회, 금융위원회 등 조직 대비 예산 및 인력 규모가 현저히 부족하다”며 “과징금 등 사후 제재로 발생한 재원을 피해구제와 개인정보보호위원회 역량 강화에 재투자하는 식으로 활용해야 한다”고 말했다.
최경진 가천대 법학과 교수는 이날 토론회 발제자로 나서 개인정보 보호가 기본값이 되는 사회를 만들어야 한다고 주창했다. 이를 위해 데이터 생애주기 전반에 걸친 개인정보 보호체계를 마련해야 한다고 강조했다.
아울러 그는 개인정보 보호 정책 패러다임이 나아가야 할 방향에 대해 ▲사전 예방 중심 ▲위험 기반 비례적 접근 ▲실효적 사고 대응 ▲능동적 회복력 확보 등을 제시했다.
그는 “사후제재가 필요하지 않다는 것이 아니다. 그간 사후제재가 강화되면서 사고 이후 책임을 물을 수 있는 기반이 마련됐으니, 이런 억제력을 바탕으로 전주기적인 개인정보 보호체계가 필요한 것”이라며 “개인정보 처리에 따른 효용 증대를 안정적으로 뒷받침하고 효과적인 위험관리와 신속한 회복이 연결되며 내재화되는 개인정보 보호체계로 대전환해야 한다”고 말했다.
이를 위해 최 교수는 3가지 방안을 제시했다. 그는 “‘데이터 햇볕정책’이 필요해 보인다. 햇볕정책도 강력한 군사적 억지력이 없으면 나올 수 없었던 정책이었다”라며 “현재까지 만들어놓은 각종 처별규정은 강력한 억제력에 해당한다. 하지만 불가피하게도 억지력만 강화하면 올바른 방향으로 정책을 마련할 수 없다. 개인정보 보호를 잘 지키면 더 큰 이득을 얻을 수 있고 지속가능한 사업을 영위할 수 있겠다는 생각을 기업들에게 심어주는 정책이 필요하다”고 밝혔다.
이어 그는 “‘점’으로 된 개인정보 보호 체계를 ‘선’으로 이어야 한다”며 “정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등 보안 인증들은 어느 한 시점에 ‘스냅샷’ 형식으로 보안의 수준을 평가하고, 전주기적인 검증이 이뤄지지 않는다. 따라서 시계열적으로 개인정보 보호체계가 적절하게 운영되고 있다는 것을 보여주기 위한 선형적 체계가 마련될 필요가 있다”고 강조했다.
이 외에도 최 교수는 입체적인 접근 방식으로 개인정보 보호 체계를 개선해야 한다고 주장했다. 방화벽, 내부자 위협 등 개인정보 보호 영역이 연결될 수 있도록 평명적인 규제에서 탈피해야 한다는 것이다.
발제자들의 발표가 끝난 이후 ▲고낙준 개인정보보호위원회 예방조정심의관 ▲최동근 고려대 정보보호대학원 교수 ▲윤수영 한국CPO협의회 사무총장 ▲박소영 국회 입법조사관 등이 사전예바 중심의 개인정보 보호 체계 구축 관련 심도 깊은 논의가 이뤄졌다.
먼저 최동근 교수는 “침해사고가 발생한 기업은 엄연히 ‘피해자’임에도 해커나 범죄자를 검거하기보다 기업을 먼저 조사함으로써 기업 이미지 하락을 우려한 피해 기업들이 신고를 꺼리는 결과를 초래했다”며 “이로 인해 글로벌 해커들에게 한국이 좋은 먹잇감으로 선택되는 악순환의 고리가 이어지고 있다”고 말했다.
그는 “해외에서는 보안은 인프라라고 생각하지 투자라고 생각하지 않는다”며 “기업들은 매출이나 영업이익이 1순위이기 때문에 보안은 지출이며 항상 2순위에서 논의되고 있다”고 진단했다.
그는 이어 “학교 급식의 선진화를 위해 ‘학교급식법’을 두고 영양사 및 조리사를 도입하고 급식시설 등을 정부가 정책으로 지원한 것처럼 보안 역시 급식과 같은 인프라의 영역에서 세제 혜택 등 정책적으로 지원이 필요하다”고 강조했다.
윤수영 사무총장은 개인정보보호 인력의 처우 개선도 필요하다고 밝혔다. 윤 사무총장은 “CPO(개인정보보호 최고책임자)들은 고위험 직군이다. 높은 전문성이 요구되는 반면 사고 발생 시 책임 부담이 크고, 인사상 불이익을 받는 경우도 많다”며 “개인정보보호 부서가 조직 내 기피 부서가 되고 있다”고 밝혔다.
그는 “이에 개인정보보호 직무급, 인센티브, 위험수당 지급 및 전문성 강화 지원 등 조직 차원의 인적 투자를 핵심 평가 요소로 반영할 필요가 있다”며 “CPO가 주의 의무를 다한 경우 사고 발생 시 부당한 인사상 불이익을 받지 않도록 하는 제도적 면책이 필요하다”고 역설했다.
박소영 입법조사관은 “사전 예방의 중요성을 강조한다고 해서 사후 제재가 불필요하다는 의미는 아니다. 사후 제재가 없다면 기업은 예방에 투자해야 할 유인을 갖지 못한다”며 “문제는 현행 체계가 사후 제재에 지나치게 편중돼 있다는 것이다. 개인정보 보호의 패러다임은 이제 사고 이후 책임을 묻는 시대를 넘어 위험을 설계 단계서부터 관리하는 예방적 거버넌스로 전환돼야 한다”고 밝혔다.
이와 관련 고낙준 심의관은 “개인정보위는 개인정보 보호 정책 컨트롤타워로서 최종 책임을 지는 범부처 보호체계를 구축하고자 한다”며 “자율적 예방 노력 유도, 사회 전반의 개인정보 보호 역량 제고, 개인정보 기술분석센터 구축 등의 기본방향을 담은 사전 예방 중심 개인정보 보호 전략을 마련 중이며, 구체적인 추진 방안을 곧 발표할 예정이다”라고 말했다.